Internet Explorer 9, Firefox 10 y Google Chrome 17, hackeados en Pwn2Own

Ver el tema anterior Ver el tema siguiente Ir abajo

Internet Explorer 9, Firefox 10 y Google Chrome 17, hackeados en Pwn2Own

Mensaje por gbp el Dom Mar 11 2012, 00:49

Los mejores hackers del mundo han participado en la sexta edición del concurso Pwn2Own, que se ha celebrado en Vancouver (Canadá) del día 7 al día 9 de marzo y donde se ha puesto a prueba la seguridad de los navegadores Internet Explorer, Firefox, Chrome y Safari instalados en Windows 7 o Mac OS X Lion, con las últimas actualizaciones y parches de seguridad instalados. Los resultados han sido contundentes: solamente Safari se ha salvado de ser hackeado por una vulnerabilidad 0-day, que implique ejecución remota de código. Conoce todos los detalles a continuación.

Google Chrome, el primer navegador en ser hackeado en el concurso


El primer navegador en caer fue Google Chrome, el
único navegador que se salvó de ser hackeado el año pasado, y que era el
principal objetivo de este año para los hackers. El grupo de hackers
francés VUPEN, que finalmente fue el ganador del concurso Pwn2Own 2012,
sacó provecho de un exploit mediante el cual pudieron tomar el control de un ordenador con Windows 7 SP1 con los últimos parches de seguridad instalados.

Según uno de los integrantes del grupo VUPEN, Chaouki Bekrar, Chrome era su principal objetivo este año:

Queríamos mostrar que Chrome no era invulnerable. El
último año vimos un montón de titulares diciendo que nadie pudo hackear
Chrome, así que este año queríamos asegurarnos de que fuera el primero
en caer.


Esto demuestra que cualquier navegador, o cualquier software,
puede hackearse si existe suficiente conocimiento y motivación para
ello.

Bekrar creó una página web con el exploit y, una vez que un ordenador simplemente visitara la página web, el exploit se ejecutaba y abría la calculadora fuera de la sandbox de Chrome, demostrando así que podría ejecutar cualquier programa.

Sin embargo, Bekar afirmó que no fue tarea fácil hackear Google Chrome:

La sandbox de Chrome es la más segura de todas. No es
una tarea sencilla crear un exploit completo para sortear todas las
protecciones en la sandbox. Puedo decir que Chrome es uno de los
navegadores más seguros en la actualidad.

Internet Explorer 9 cayó con dos vulnerabilidades 0-day


El mismo grupo de hackers VUPEN fue el encargado de hacer saltar las protecciones del nuevo navegador de Microsoft, Internet Explorer 9, utilizando un desbordamiento de pila sin parchear para así sortear las protecciones DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization), y también una vulnerabilidad de corrupción de memoria para saltarse la sandbox de modo protegido de Internet Explorer.

Este ataque no requería ninguna acción por parte del usuario, que se
veía afectado simplemente al abrir una página web especialmente diseñada
para el ataque. Además, este exploit también afectaba a Internet Explorer 10 ejecutándose bajo Windows 8 Consumer Preview.

Firefox 10 fue el último en ser hackeado


El grupo de hackers formado por Willem Pinckaers y Vincenzo Iozzo, fue el encargado de explotar una vulnerabilidad 0-day en Firefox 10.0.2 bajo Windows 7 SP1, consiguiendo un premio de 30.000 dólares.

El exploit se aprovechaba de una vulnerabilidad del navegador y era capaz de sortear con éxito las protecciones DEP y ASLR, que son dos herramientas de Windows para intentar ofrecer mayor protección contra exploits.

Según Pinckaers, pudieron ejecutar la misma vulnerabilidad tres
veces. En la primera de ellas pudieron filtrar alguna información; en la
segunda, pudieron filtrar direcciones de datos, y en la tercera
pudieron ejecutar código.

Safari, el único navegador que no ha sido hackeado en Pwn2Own 2012


El navegador de Apple ha salido victorioso del concurso Pwn2Own, al haber sido el único de los cuatro navegadores que no ha sido hackeado.




Ayuda para navegar por el foro

LIVE AS IF YOU WERE TO DIE TOMORROW. LEARN AS IF YOU WERE TO LIVE FOREVER. - MOHANDAS GANDHI
Invitado -- "Interesante...:

Ver tu historial de navegación Google.
Ver la información de tus cuentas Google y mas..
Extraer el sonido de un video a mp3
Editor de imagenes online


gbp
..
..

Fecha de inscripción : 08/09/2009

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.